Reklame
bezbednost

Zašto nikad ne treba kačiti slike avionske karte ili ključa

Ne samo što ovakvi postovi na Instagramu, Fejsbuku, i Tviteru nekad skupo koštaju, već su potencijalno i veoma opasni.

pisao Theresa Locker
23 Septembar 2017, 6:00am

Kad se potraži hešteg #boardingpass, dobije se negde 92,000 rezultata na Instagramu. Po nama je to 92,000 suvišnih postova. Ove slike neće videti samo sledbenici koji se raduju vašoj veseloj najavi predstojećeg puta, već i kriminalci koji bi vam rado ukrali identitet, nalog, ili leteli avionom o vašem trošku.

U prvoj polovini 2017. godine, bilo je toliko slučajeva krađa identiteta da je BBC počeo da govori o ovoj „epidemiji". Grupe najčešće pogođene ovde nisu bile naivne bakice koje klikću na sumnjive linkove, već osobe ispod tridesete – takozvani digitalni domoroci.

Ali kako sajber-kriminalci kradu identitet ovih žrtava danas kad je svest o važnosti pouzdanih lozinki na maksimumu? Odgovor leži u fidovima na društvenim mrežama. Mnogi nisu svesni da lakomisleno okačena fotografija avionske karte na Instagramu, ili čak ključeva od automobila, strance poziva da demonstriraju svoju kreativnost.

Buking kod na karti je privremena lozinka – i to ne naročito pouzdana

Šestocifreni buking kod koji avio-kompanije zovu PNR ( Passenger Name Record) je rudnik zlata za krađe identiteta, što je haker Karsten Nol pokazao prošle godine u Hamburgu tokom Chaos Communication skupa.

Nol je otkrio da PNR predstavlja prilično slabu privremenu lozinku koju avio-kompanije izdaju putnicima i otvoreno kače na prtljag. Ko god zna vaš PNR i prezime može da preko onlajn ček-in portala sebi obezbedi let o vašem trošku i još mnogo toga.

Na nekim sajtovima avio-kompanija, prezime putnika i vreme leta dovoljni su da bi se bilo ko ulogovao kao putnik i skinuo primerak svog bording pasa. Pošto danas razne avio-kompanije dele kodove, sasvim je moguće istim kodom ulogovati se na pet-šest različitih sajtova – tu kriminalci neometano stiču pristup privatnim informacijama i za sebe rezervišu letove bez plaćanja. Sistem je najgori moguć.

Ova priča je privukla pažnju početkom 2017, ali kako tvrdi Mihal Spaček, još jedan stručnjak za sajber-bezbednost, ni avio-kompanije ni putnici u prethodnih osam meseci naizgled nisu promenili navike. Na svom sajtu, Spaček ilustruje šta se sve može izvesti samo jednom brzom pretragom fotografija okačenih na društvene mreže.

Buking kod, da ili ne? Tri argumenta protiv

U prvom od tri slučaja kojima ilustruje krađe identiteta na Instagramu, Spaček objašnjava kako ne samo što je otkrio lokaciju prijatelja na letovanju u Hong Kongu već je mogao da mu nakači internacionalnu poternicu. Sve ovo je Spačekov prijatelj omogućio podelivši fotografiju svoje avionske karte pored telefona i zvučnika.

Koristeći ovu sliku na kojoj se jasno video buking kod, Spaček se ulogovao na ček-in sajt Britiš Ervejza, gde je video da je njegov prijatelj uredno uneo sve relevantne podatke o sebi – datum rođenja, broj pasoša – pred poletanje.

Šale radi, Spaček je lako mogao da ubedi sajt da njegov prijatelj nije taj za kog se izdaje izmenivši samo par detalja. Sajt mu je ponudio da unese datum rođenja, i eto ga. Informacija koju je njegov prijatelj celom svetu prikazao na Fejsbuku. Tu je Spaček mogao da unese koje god podatke želi, čak i da izmeni zapamćen broj pasoša tako da se poklapa sa brojem pasoša izvesnog teroriste iz Interpolove baze podataka.

Drugi slučaj: izvesna Ana pokušala je da zaštiti svoje podatke tako što je Fotošopom blurovala svoje prezime na slici bording pasa pre nego što je okačila. Ali to joj nije pomoglo jer je Astek kod još uvek bio vidljiv. Spaček je jednostavnim programom kao što je Barcode Scanner mogao izvuče puno ime putnice, i tako dođe u položaj ništa manje komforan od onog u prvom slučaju.

Instagramisti vole da se hvale svojim avionskim kartama, ali kvalitet fotografija retko je tako nizak kao na ovom skrinšotu.

Treći slučaj: Izvesni putnik, osnivač jedne relativno poznate startap firme, okačio je sliku Astek koda na svom smartvoč satu umesto karte. Spaček je i ovu sliku mogao da skenira baš kao i u prethodna dva slučaja, ali je otkrio nešto još vrednije: broj frequent flyer identifikacije putnika, što avio-kompanije obično štite po svaku cenu.

Koristeći ovaj broj i javno dostupne informacije, Spaček je trebalo samo da odgovori na dva smešno laka pitanja na sajtu United Airlines da bi promenio lozinku na nalogu svoje žrtve – to bi bio pun pogodak jer bi stekao pristup svim drugim informacijama o plaćanju, rezervacijama, adresama, kao i pravo na nekoliko besplatnih letova koji je njihova mušterija prethodnim putovanjima zaradila. U međuvremenu, UA su dodali još jedan sigurnosni nivo pri promeni lozinke, ali donedavno je bilo izuzetno lako upasti na nalog i blokirati pravog korisnika promenivši lozinku.

Ali ja baš hoću svima da pokažem gde putujem!

Slobodno, samo nemoj da im pokažeš ime, datum, buking kod, i bar kod. Zacrniti ove podatke je mnogo pouzdanije od blurovanja, jer pikselizaciju neki programi takođe mogu da ponište i otkriju sve što je trebalo sakriti. Jeste malo verovatno, ali sva ključna slova i brojeve bolje je direktno prekriti crnom trakom nego pružiti hakerima priliku da skrpe ono što im treba. Malo informacija ipak je veći sigurnosni rizik nego nimalo informacija.

Mnogi zaboravljaju da ovi se rizici ne odnose samo na fotografije već i na papirne karte i bording pasove. Umesto što ih ostavljamo u avionu, bolje je pocepati ih posle upotrebe. Ko je posebno paranoičan može da ih provuče kroz seckalicu za papir, ili da ručno pocepane delove baci u različite kante za otpatke. Ali za većinu slučajeva, najjednostavnije rešenje je prosto ne kačiti slike avionske karte onlajn. Bolje slikajte nešto kroz prozor aviona.

Kako se bezbedno bahatiti

Recimo da se ponosite se svojim automobilom. Možda je nov, sigurno skup, hoćete da podelite sa svetom da imate na stolu ključ od svog ponosa, odmah pored avokada na tostu. Ali ključu stvarno nije mesto na Fejsbuku, Tviteru, ili Instagramu.

Relativno je lako od slike dobiti precizan kompjuterski model ključa. CAD softver, na primer, može da isprati konture i senke fotografije, konvertuje rezultat u fleš format, upali svoj 3D štampač i napravi svoj primerak ključa. Lokaciju samog automobila ili kuće lako je utvrditi geotagovima ili drugim podacima koji plutaju po društvenim mrežama. Za samo pola sata, kopija ključa biće spremna za krađu automobila.

Ali ko baš mora da se hvali ključevima na Instagramu, nije mu neophodan ni Fotošop. Samo treba da drži ključ za metalni deo, ili da ostavi taj deo van kadra – tako će sprečiti kopiranje. Još jedan jednostavan savet: bolje je hvaliti se samim automobilom nego informacijama koje omogućavaju da se isti ukrade.

Još na VICE.com

Kako ptica može da uništi avion Mig-29

Možda ipak ne treba da kupiš ovu svetlucavu pilulu koja se stavlja u vaginu

Znam da zvuči ludo, ali molim vas da pokrijete kameru na kompjuteru

Tagged:
karte
Društvene mreže
Fotke
Rizik
Ključevi